服务器安全监控解决方案

背景介绍

    态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地。

    现阶段面对传统安全防御体系失效的风险，态势感知能够全面感知网络安全威胁态势、洞悉网络及应用运行健康状态、通过全流量分析技术实现完整的网络攻击溯源取证，帮助安全人员采取针对性响应处置措施。

    所以态势感知系统应该具备网络空间安全持续监控能力，能够及时发现各种攻击威胁与异常；具备威胁调查分析及可视化能力，可以对威胁相关的影响范围、攻击路径、目的、手段进行快速判别，从而支撑有效的安全决策和响应；能够建立安全预警机制，来完善风险控制、应急响应和整体安全防护的水平。

挑战

    现有态势感知绝大多数为网络流量分析，属于网络态势感知；缺乏主机相关信息，对于失陷主机的“态”及脆弱主机的“势”无法精准有效的呈现。

    受限于威胁情报来源、数据分析能力和安全响应能力，市场上很多态势感知仅仅只是做了数据的图像呈现。以致于在不少人的认知里，态势感知就是大屏展示， 用于直观显示网络环境的实时安全状况。

解决方案

• 对企业现在IT资产和环境的全面把控

    自动化清点进程、端口、账号、中间件、数据库、大数据组件、Web应用、Web框架、Web站点等十余类安全资产，覆盖通用资产；根据每个服务器业务特点，系统针对性识别应用，目前可识别业务应用已覆盖200余类，例如 Nginx、Apache、JBoss、Mysql、Memcached、Redis、Hbase 等等，每个应用在风险发现与入侵检测中，均提供对应安全策略保护；允许自定义清点对象，可根据业务需要，自助清点数据；不同清点对象均采用单独模块管理，模块间保持一定联动性，确保同时运行的清点单元最小化，瞬时性能消耗很低。

• 对漏洞和风险的管理

    自动识别应用配置缺陷，通过比对攻击链路上的关键攻击路径，发现并处理配置中存在的问题，大大降低可被入侵的风险。同时，基于 Agent 的持续 监测与分析机制，能迅速与庞大的漏洞库进行比对，精准高效地检测出系统漏洞。并且能精准检测几十种应用弱密码，覆盖企业常用应用如 SSH、Tomcat、MySQL、Redis、OpenVPN 等。全方位检测IT系统存在的脆弱性，发现信息系统存在的安全补丁、安全漏洞、安全配置问题、应用系统安全漏洞，检查系统存在的弱口令，收集系统不必要开放的账号、服务、端口，形成整体安全风险报告，为企业提供无死角的风险状况视图，帮助安全管理人员先于攻击者发现安全问题，及时进行修补。

• 强调检测和响应的联动

    通过多维度的感知网络叠加能力，对攻击路径的每个节点都进行监控，并提供跨平台多系统的支持能力，保证了能实时发现失陷主机，对入侵行为进行告警。

在 Agent 的深入探针能力支持下，结合 IoC、大数据、机器学习等多种分析方法，基于对攻击时间和攻击维度的深度分析，整理入侵事件的来龙去脉，以可视化方式完整呈现。让用户对于整体环境的入侵情况和需要处理的入侵事件有清晰的了解，使得入侵分析“深可见底”。

产品价值

    补充现有态势感知的不足，完善主机态势感知版图。

    提供全面的海量资产数据、漏洞数据、风险数据、资产数据供给联动分析和呈现。

    提供高扩展接口，可针对特殊场景迅速拓展定制模块。